关键漏洞信息 CVE-2025-43792: Staging site data exfiltration 描述 远程 staging 在 Liferay DXP 中未能正确从数据库中获取实时站点的远程地址,这允许远程认证用户通过 _com_liferay_exportimport_web_portlet_ExportImportPortlet_remoteAddress 和 _com_liferay_exportimport_web_portlet_ExportImportPortlet_remotePort 参数将数据泄露到攻击者控制的服务器(即一个假的“实时站点”)。要成功利用此漏洞,攻击者还必须成功获取 staging 服务器的共享密钥,并将攻击者控制的服务器添加到 staging 服务器的白名单中。 严重性 2.3 (CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N) 受影响版本 Liferay Portal 7.4.0 到 7.4.3.105,以及更旧的不受支持版本 Liferay DXP 2023.Q4.0 Liferay DXP 2023.Q3.1 到 2023.Q3.4 Liferay DXP 7.4 GA 到 U92 Liferay DXP 7.3 GA 到 U35,以及更旧的不受支持版本 修复版本 Liferay Portal 7.4.3.106 Liferay DXP 2024.Q1.1 Liferay DXP 2023.Q4.1 Liferay DXP 2023.Q3.5 Liferay DXP 7.3 U36 发布日期 2025年9月15日 16:21:00 +0000